Die Sichermacher

Alle reden von Hacks und Datenlecks. Doch wer behält die Kontrolle über die Sicherheit für die Unternehmen? Zu Besuch bei den heimlichen Helden der deutschen Wirtschaft.

Von Michael Moorstedt (Magazin der Messe München 01/2019)

Jürgen Pfister, © Luise Aedtner

Jürgen Pfister weiß, dass IT-Sicherheit bei Firmen längst Chefsache ist.

Foto: Luise Aedtner

Wenn Sascha Herzog und Jürgen Pfister von ihrer Arbeit erzählen, hören sich die Geschichten oft an wie die Episoden aus einem Detektivroman. Zum Beispiel damals, als sie in der Schweiz arbeiteten. Das Zielobjekt war der Rechner des Finanzchefs einer renommierten Privatbank. Herzog und sein Team kontaktierten dessen Assistentin, gaben sich mit einer gefälschten SMS als Leiter der IT aus und vereinbarten einen Termin, angeblich, um neue Software auf den Laptop mit den wertvollen Daten aufzuspielen. Ein Kollege war schon vor Ort und stellte sich mittels einer gefälschten Visitenkarte als Vertreter des Antivirenherstellers vor. Innerhalb einer Stunde saß er vor dem Computer. Weil der Trojaner sich nicht per USB-Stick aufspielen ließ, haben sie ihn dann doch schnell per E-Mail geschickt. Danach hatten sie vollen Zugriff auf sämtliche Kontoinformationen. All das geschah, während die Frau sich im Nebenzimmer vertrauensvoll einen Kaffee machte.

Heutzutage vergeht kaum eine Woche ohne Nachrichten zu spektakulären Hackerangriffen. Kundendaten und Betriebsgeheimnisse stehen teilweise un- oder nur schlecht gesichert im Netz, millionenfach werden Mail-Adressen und Passwörter geleakt. Laut einer Studie des IT-Sicherheitsunternehmens McAfee beträgt der wirtschaftliche Schaden durch Cyberkriminalität weltweit jährlich 600 Milliarden US-Dollar. Knapp 70 Prozent der Unternehmen und Institutionen in Deutschland sind in den letzten Jahren Opfer von Cyberangriffen geworden, wie eine Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI) ergab. In knapp der Hälfte der Fälle waren die Angreifer erfolgreich und konnten sich zum Beispiel Zugang zu IT-Systemen verschaffen, deren Funktionsweise beeinflussen oder Internet-Auftritte von Firmen manipulieren. Jeder zweite erfolgreiche Angriff führte dabei zu Produktions- oder Betriebsausfällen.

Wo liegen die Schwachstellen? Und wie bemerkt man, dass man in Gefahr ist?

Um das zu verhindern, gibt es Firmen wie Nside Attack Logic. Unternehmen beauftragen sie, in ihre Netzwerke einzubrechen. Sie sollen herausfinden, wo die Schwachstellen liegen. „Wir simulieren komplexe Angriffe mit einer klaren Zielsetzung“, erklärt Herzog. Jeder Hacker habe eine Motivation: sich bereichern, die Konkurrenz sabotieren oder kritische Infrastrukturen strategisch kontrollieren.

Ihren Sitz hat die Firma in einem modernen Bürokomplex im Münchner Norden. Viel Glas und Stahl sind hier verbaut, es gibt offene Kaffeeküchen und einen Kickertisch im Foyer, der Besucher kann in die meisten Büros hineinsehen. Herzog sitzt in einem Konferenzzimmer und erzählt von geglückten Hacks und Firmen, die wegen Verschlüsselungstrojanern pleitegingen. Ein paar Sonnenstrahlen fallen, gefiltert durch eine nicht ganz geschlossene Jalousie, ins Zimmer. Mit kurz rasierten Haaren, akkurat gestutztem Bart und breiten Schultern entspricht er so gar nicht dem gängigen Klischee des Hackers, das von den Medien gezeichnet wird.

Namen könne man selbstverständlich nicht nennen, sagt Jürgen Pfister, Herzogs Co-Geschäftsführer. Cybersecurity ist ein verschwiegenes Geschäft. Allein neun Dax-Konzerne zählt die kaum mehr als 20 Mitarbeiter umfassende Firma zu ihren Kunden. Es sind Banken und Versicherungen, Energieversorger oder Unternehmen aus der Pharma- und Chemieindustrie. Alles Bereiche, die hoch verwundbar sind. „Unsere Arbeit besteht darin, mit beinahe allen Möglichkeiten, die auch von Cyberkriminellen und anderen Akteuren aus diesem Bereich verwendet werden, Angriffe auf kritische Geschäftsprozesse unserer Kunden durchzuexerzieren“, sagt Pfister.

Es geht um die Fragen: Welche Angriffe sind machbar, wie reagieren die Verantwortlichen, merken sie den Angriff überhaupt und welche Aktionen sind vorgesehen, um einen bereits laufenden Angriff abzublocken? Cyber Resilience lautet das entsprechende Schlagwort. Mit einer koordinierten Strategie lässt sich der kritische Geschäftsbetrieb aufrechterhalten, die IT nach einer Attacke schnell wiederherstellen und die geschäftlichen Auswirkungen minimieren. „Wir helfen unseren Kunden, ihre Widerstandsfähigkeit gegen solche Attacken maximal zu verbessern“, so Pfister. „Es geht hier neben der Technik ebenfalls um organisatorische Maßnahmen und die Awareness von Mitarbeitern und Partnern.“

Sascha Herzog, © NSIDE ATTACK LOGIC

Sascha Herzog arbeitet seit 15 Jahren in der IT-Security und sucht im Auftrag von Firmen nach Sicherheitslücken.

Foto: NSIDE ATTACK LOGIC

Am Anfang eines jeden Hacks steht das, was Sascha Herzog und sein Team „Taktische Informationsbeschaffung“ nennen: „Wir beobachten ein Unternehmen durch die Hacker-Brille aus dem Internet, recherchieren in Datenbanken und korrelieren Informationen, die sich für einen potenziellen Angriff eignen würden.“ In dieser Phase wird noch kein einziges Netzwerkpaket gegen die Server ihrer Kunden geschickt. Wieso sollte man auch selbst einen Angriff ausführen, wenn die Unternehmen doch oftmals schon Tür und Tor für die Hacker öffnen?

Eine beliebte Methode besteht im sogenannten Social Engineering und Spearfishing. Herzogs Mitarbeiter gehen gezielt vor. Sie informieren sich über die aktuellen Vorgänge in der entsprechenden Firma und erstellen psychologische Profile der Zielpersonen. Mal geben sie sich als hoffnungsvoller Bewerber aus, der sein Portfolio als Anhang mitverschickt, dann wieder als Student, der für seine Bachelor-Arbeit nur mal kurz bei den Experten nachfragt, ob sie seine Testergebnisse verifizieren könnten.

In der Branche hat man eine ganze Reihe dieser Storys auf Lager – und so gut wie immer findet sich bei den Unternehmen ein gutgläubiger Mitarbeiter, der auf die Masche hereinfällt. Meist sind es Angestellte aus IT-fernen Abteilungen, die glauben, dass sie die komplexe Materie ohnehin nichts angeht, die kontaktiert werden; Kaufleute, Marketingexperten, nicht einmal die Rechner der Hausmeister bleiben verschont. Cybersecurity ist deshalb nicht nur Aufgabe der Fachleute, sondern betrifft auch die Entscheider in den Unternehmen. Aus Gründen wie diesen hat die Messe München im Herbst 2018 zum ersten Mal die Command Control veranstaltet, die sich als Summit und nicht als Messe versteht.

Im schlimmsten Fall kann man den Laden dicht machen. Sascha Herzog, Gründer Nside Attack Logic

Es sind natürlich nicht nur die Menschen, die anfällig für Fehler sind, sondern auch die Technik. Immer mehr Geräte werden mit dem Internet vernetzt. Bei ihrer Arbeit bedienen sich die Experten aus München zum Beispiel der Suchmaschine shodan.io, welche die IP-Adressen von zahllosen vernetzten Geräten auflistet: Drucker und Router, aber auch Steuerungsanlagen für Kraftwerke oder Wasseraufbereitungsanlagen. Es gilt: Hat man die entsprechende Adresse einmal abgegriffen, kann man die entsprechende Hardware mit dem nötigen Know-how auch manipulieren.

„Stellen Sie sich einen typischen Mittelständler vor“, sagt Herzog, „sagen wir, in der fertigenden Industrie. Was passiert, wenn ein Konkurrent dessen Anlagensteuerung übernimmt und Bohrköpfe in die Werkstücke bohrt, sodass die Geräte nicht mehr funktionieren und die Fertigung stillsteht? Im schlimmsten Fall dauert es ein halbes Jahr oder länger, bis Ersatz geliefert werden kann. Da kann man den Laden dichtmachen.“ Die „guten“ Hacker bohren selbstverständlich nichts kaputt. Sondern versuchen, an die Stelle des Systems zu kommen, um einen solchen Angriff ausführen zu können. Im eigenen Hardwarelabor analysieren sie Geräte auf ihre Schwachstellen. Vor Kurzem haben sie einen kritischen Fehler in den Routern eines großen deutschen Telekommunikationsanbieters gefunden. Ein potenzielles Einfallstor in Millionen Haushalte. In Zusammenarbeit mit dem Unternehmen wurde der Bug behoben.

Betroffen sind die kleine Webcam und der mächtige Industrieroboter gleichermaßen. „Wenn man unter das Blech guckt, ist das, was man vorfindet, oft wahnsinnig trivial“, so Herzog. In der Industrie 4.0 wimmelt es von unsicheren Systemen und Standard-Passwörtern, die im Internet frei zugänglich sind. Viele Schwachstellen, die man im Bereich der vernetzten Geräte findet, seien vielleicht heute noch nicht so wertvoll für einen Hacker, sagt Herzog. Aber er könne sich schon jetzt strategisch positionieren und auf den richtigen Zeitpunkt warten – dann erfolgt der Angriff.

Die Command Control adressiert alle Entscheider, die an der Digitalisierung eines Unternehmens oder einer Organisation beteiligt sind. Dabei hat die Veranstaltung eine internationale Ausrichtung und ist als Dialogplattform für ganz Europa angelegt. Die Command Control zeichnet sich durch ihren interaktiven Charakter aus und bietet ihren Teilnehmern zahlreiche Fortbildungsund Netzwerkangebote.

So vermitteln Best-Practice-Workshops, Peer-to-Peer-Sessions, Panel-Diskussionen und Keynotes führender Köpfe aus Wirtschaft, Wissenschaft und Politik das nötige Know-how und die richtigen Kontakte, um die digitale Transformation eines Unternehmens sicher zu managen. Das Leitthema der Veranstaltung im März 2020 ist Cyber Resilience.

www.command-control.com